CVE-2015-0666

Cisco Prime Data Center Network Manager (DCNM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

Directory traversal vulnerability in the fmserver servlet in Cisco Prime Data Center Network Manager (DCNM) allows remote attackers to read arbitrary files.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в сервлете fmserver в Cisco Prime DCNM позволяет удаленному злоумышленнику выполнить обход каталогов (Directory Traversal). Используя специально сформированные HTTP-запросы, атакующий может получить доступ и прочитать произвольные файлы на файловой системе сервера, включая конфиденциальные данные (например, файлы конфигурации, логи, учетные данные).

Как исправить

Установите официальный патч от Cisco, который устраняет эту уязвимость. Обновите Cisco Prime DCNM до одной из исправленных версий.

  • Для версий 6.x: Обновитесь до версии 6.2(1) или новее.
  • Для версий 7.x: Обновитесь до версии 7.1(1) или новее.

Процедура обновления (пример для Linux): 1. Скачайте исправленный образ обновления (например, dcnm-upgrade-7.1.1.tar.gz) с портала поддержки Cisco (CCO). 2. Загрузите его на сервер DCNM. 3. Остановите службы DCNM: bash sudo /etc/init.d/dcnm stop 4. Распакуйте архив и запустите скрипт обновления: bash tar -xzf dcnm-upgrade-7.1.1.tar.gz cd dcnm-upgrade-7.1.1 sudo ./upgrade 5. Следуйте инструкциям инсталлятора. После завершения запустите службы: bash sudo /etc/init.d/dcnm start

Важно: Перед обновлением создайте полную резервную копию системы и конфигурации.

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

  1. Ограничьте сетевой доступ: Настройте правила межсетевого экрана (ACL) так, чтобы доступ к веб-интерфейсу Cisco Prime DCNM (порты по умолчанию 80/HTTP и 443/HTTPS) был разрешен только с доверенных IP-адресов (например, с рабочих станций администраторов).

    • Пример правила для iptables (разрешить только от сети 10.1.1.0/24): bash sudo iptables -A INPUT -p tcp --dport 443 -s 10.1.1.0/24 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j DROP

  2. Настройте WAF (Web Application Firewall): Разместите перед сервером DCNM WAF (например, ModSecurity) и активируйте правила для блокировки атак типа Path Traversal (правила OWASP с ID 930100).

  3. Изолируйте систему: Убедитесь, что сервер DCNM находится в изолированном сегменте сети (VLAN/DMZ) без прямого доступа из интернета.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей